Par Stéphane ASTIER et Florian PERRETIN
Mettre en conformité son activité au Règlement Général Européen pour la Protection des Données (ci-après RGPD) pose de nombreuses questions. Alors que la date d’entrée en vigueur de ce texte approche à grands pas, les questions posées par la difficile sensibilisation des Directions demeurent récurrentes.
Si une telle démarche devrait être prioritairement perçue comme une source majeure d’opportunités (bonne gouvernance, consolidation du patrimoine informationnel de l’entreprise, différenciation concurrentielle etc.), le RGPD demeure trop souvent relégué à une contrainte de plus, à une source de coûts non budgétés avec des risques de sanction éloignés.
C’est pourtant sur ce risque de sanction qu’il convient de revenir en détail car le raccourci du « pas vu pas pris » choisi par certains ne va pas aller sans conséquences… parfois inattendues.
« Je n’ai jamais déjeuné avec une personne morale… mais je l’ai souvent vu payer l’addition. Sauf qu’en matière pénale, l’addition est parfois partagée entre le dirigeant et la personne morale. La note peut être alors quelque peu salée ! »
[dt_default_button link= »https://www.haas-avocats.com/nos-competences/avocat-rgpd-reglement-europeen-sur-la-protection-des-donnees-ce-qui-va-changer-pour-les-entreprises-publiques-et-privees/ » button_alignment= »default » animation= »fadeIn » size= »big » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]En savoir plus sur le RGPD[/dt_default_button]
I/ La responsabilité pénale des dirigeants…
La CNIL a actuellement la faculté de prononcer des sanctions administratives, dont le plafond est actuellement fixé à 3 millions d’euros mais qui pourra être rehaussé à 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial pour les infractions les plus graves. Si la personne morale est directement en ligne de mire, rappelons que ces sanctions administratives peuvent être complétées par des condamnations pénales prévues aux articles 226-16 et suiv. et R 625-10 et suiv. du Code pénal qui visent, dans certaines hypothèses, les dirigeants à titre personnel.
En effet, la personne morale ne fait pas toujours écran pour protéger les dirigeants en cas de condamnation, et il est prévu dans le texte pénal que la responsabilité de ces derniers peut être engagée pour les mêmes faits :
Les personnes morales, à l’exclusion de l’Etat, sont responsables pénalement, selon les distinctions des articles 121-4 à 121-7, des infractions commises, pour leur compte, par leurs organes ou représentants.
Toutefois, les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l’exercice d’activités susceptibles de faire l’objet de conventions de délégation de service public.
La responsabilité pénale des personnes morales n’exclut pas celle des personnes physiques auteurs ou complices des mêmes faits, sous réserve [de la force majeure].
Ainsi en cas de poursuites pénales, le juge d’instruction recherchera le responsable en interne du délit reproché à la personne morale. Il existe des précédents jurisprudentiels où la Cour de cassation a estimé qu’il appartenait aux juges de rechercher, avant d’engager la responsabilité de la personne morale, si le directeur général, organe de la personne morale, avait eu personnellement connaissance de l’inexactitude des faits relatés dans les attestations et si l’élément intentionnel du délit était ainsi caractérisé à son encontre.
Dès lors, le dirigeant pourra être exposé dans plusieurs hypothèses :
- La faute personnelle où le dirigeant se trouve être lui-même l’auteur des faits reprochés
- La faute des préposés lorsqu’une infraction pénale non intentionnelle est commise par un salarié de l’entreprise. On présumera alors que le dirigeant a été négligeant dans son devoir de supervision des salariés, même s’il s’agit ici d’une présomption simple qui pourra être renversée en rapportant la preuve contraire.
- La complicité au titre de l’article 121-7 du Code pénal.
- Le recel au titre de l’article 321-1 du Code pénal.
Pour les délits, les peines pour le dirigeant peuvent aller de deux mois à dix ans d’emprisonnement (article 131-4 du Code pénal) et/ou à une peine d’amende qui sera d’au moins 3.750 euros.
Peuvent s’ajouter des mesures complémentaires comme l’interdiction pour une durée de cinq ans d’émettre certains chèques et d’utiliser des cartes de paiement, l’interdiction pour une durée de cinq au plus d’exercer une activité professionnelle ou sociale, l’interdiction, pour une durée de cinq ans d’exercer une profession commerciale ou industrielle, de diriger, d’administrer, de gérer ou de contrôler à un titre quelconque, directement ou indirectement, pour son propre compte ou pour le compte d’autrui, une entreprise commerciale ou industrielle ou une société commerciale (article 131-6 du Code pénal).
Si ce principe de la responsabilité pénale du dirigeant au-delà de la responsabilité de l’entreprise trouve à s’appliquer généralement à tous domaines, les infractions à la réglementation informatique et libertés n’y feront pas exception.
II/… Appliquée à la loi Informatique et Libertés et au RGPD
A titre d’exemple, l’article 226-18-1 prévoit que le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Or d’après la jurisprudence de la Cour de cassation, dès lors que les infractions retenues s’inscrivent dans le cadre de la politique commerciale des sociétés en cause, elles ne peuvent avoir été commises, pour le compte des sociétés, que par leurs organes ou représentants.
En d’autres termes, dès lors qu’un traitement « illicite » sera opéré à des fins commerciales, la responsabilité du dirigeant pourra être facilement engagée.
Avec l’entrée en vigueur du RGPD, chaque entreprise devra mettre en place des mesures participant à la démonstration de leur responsabilisation en matière de protection de la vie privée. La désignation d’un DPO, l’établissement d’un registre d’activité des traitements, la notification des failles de sécurité, la mise en œuvre de réponses adaptées aux droits des personnes ou encore l’analyse d’impact dès le moment de la conception d’un nouveau traitement intégrant une dimension de profilage de masse ou comportant des données de santé etc. sont autant d’exemples de mesures impliquant une traçabilité des mesures et des appréciations de conformité dont la direction générale doit tenir compte.
Ainsi, passer outre la recommandation de son DPO concernant la purge de données, ne pas solliciter une analyse d’impact ou encore refuser la consolidation de mentions d’informations seront autant d’exemples susceptibles de placer directement et personnellement le Dirigeant en situation d’engager sa responsabilité personnelle.
Pour mémoire, voici un tableau récapitulatif des principales infractions pénales encourues en cas de violation de la réglementation « informatique et libertés » :
| Article | Infraction | Peine | Cas du dirigeant |
| 226-1 CP | Atteinte à l’intimité de la vie privée | 1 an45 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-16 CP | Défaut de respect des formalités préalables, même par négligence | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle)Si négligence d’un des salariés, le dirigeant peut voir sa responsabilité engagée. |
| 226-16-1 A CP | Non-respect des normes simplifiées, même par négligence | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle)Si négligence d’un des salariés, le dirigeant peut voir sa responsabilité engagée. |
| 226-16-1 CP | Traitement non-autorisé de données sensibles | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-17 CP | Défaut de mise en place de mesures de sécurité proportionnées au risque | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-17-1 CP | Défaut de notification des failles de sécurité pour les fournisseurs de service de communication électronique | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-18 CP | Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-18-1 CP | Traitement de données malgré l’opposition de la personne concernée | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-19 CP | Conservation de données sensibles sans le consentement de la personne concernée | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-20 CP | Conservation de données au-delà de la durée autorisée. Traitement des données archivées à des fins autres qu’historiques, statistiques ou scientifiques | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-21 CP | Détournement des finalités du traitement | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
| 226-22 CP | Divulgation de données portant atteinte à la vie privée de la personne, même par négligence | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle)Si négligence d’un des salariés, le dirigeant peut voir sa responsabilité engagée. |
| 226-22-1 CP | Transfert non prévu par la loi de données hors UE | 5 ans300 000 euros d’amende | Engagement de la responsabilité si cette action est à l’initiative du dirigeant (faute personnelle) |
S’ajoutent également à ces infractions spécifiques des infractions plus générales comme l’abus de confiance ou le recel et prochainement la violation du secret des affaires…
En conclusion, il est urgent de tordre le coup à l’idée d’impunité qui pourrait conduire certains dirigeants à mettre de côté « le chantier RGPD » dans l’attente d’un hypothétique contrôle ou de sanctions prononcées à l’encontre de concurrents.
Ce pari peut en effet coûter cher non seulement à l’entreprise mais également à titre personnel pour celui ou celle qui est à l’origine de cette décision.
Une fois mis de côté le risque pénal qui devra être pris en compte dans toutes ses facettes à l’instar du cyber risque, le dirigeant d’entreprise pourrait utilement se saisir du dossier en constatant les éléments suivants :
La non-conformité au RGPD
- Expose l’entreprise et son dirigeant à des peines particulièrement lourdes. A partir du 25 mai 2018, chaque acteur public ou privé qui n’aura pas profité des deux années transitoires pour se mettre en conformité s’exposera à des sanctions lourdes.
- Place l’entreprise en situation de défiance vis-à-vis de ses clients et partenaires. Elle placera de la même manière la Direction en situation de défiance vis-à-vis des investisseurs, des administrateurs comme des salariés.
En définitive, sécurisation juridique et opportunité business peuvent facilement se rejoindre. Tout est ici question de positionnement et de stratégie de gouvernance.
Triplement labélisé CNIL, Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements. Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ICI.
